Planear atualizações de software no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Antes de utilizar atualizações de software num ambiente de produção do Configuration Manager, é importante que siga o processo de planeamento. Ter um bom plano para a infraestrutura do ponto de atualização de software é fundamental para uma implementação de atualizações de software bem-sucedida. Para obter informações sobre o planeamento de capacidade para atualizações de software, veja Tamanho e números de dimensionamento.
Determinar a infraestrutura do ponto de atualização de software
Esta secção inclui os seguintes subtópicos:
- Lista de pontos de atualização de software
- Mudança de ponto de atualização de software
- Mudar manualmente os clientes para um novo ponto de atualização de software
- Pontos de atualização de software numa floresta não fidedigna
- Utilizar um servidor WSUS existente como origem de sincronização no site de nível superior
- Ponto de atualização de software num site secundário
- Planear clientes baseados na Internet
- Planear conteúdo de atualização de software
- Planear atualizações de terceiros
O site de administração central e todos os sites primários subordinados têm de ter um ponto de atualização de software. À medida que planeia a infraestrutura do ponto de atualização de software, determine as seguintes dependências:
- Onde instalar o ponto de atualização de software do site
- Que sites requerem um ponto de atualização de software que aceite a comunicação de clientes baseados na Internet
- Se precisa de um ponto de atualização de software em sites secundários
Importante
Para obter mais informações sobre as dependências internas e externas necessárias para atualizações de software, veja Pré-requisitos para atualizações de software.
Adicione vários pontos de atualização de software num site primário do Configuration Manager para fornecer tolerância a falhas. O design de ativação pós-falha do ponto de atualização de software é diferente do modelo de aleatoriedade puro utilizado na conceção para pontos de gestão. Ao contrário da conceção de pontos de gestão, existem custos de desempenho de cliente e de rede na estrutura do ponto de atualização de software quando os clientes mudam para um novo ponto de atualização de software. Quando o cliente muda para um novo servidor WSUS para procurar atualizações de software, o resultado é um aumento no tamanho do catálogo e exigências de desempenho de rede e do lado do cliente associadas. Por conseguinte, o cliente preserva a afinidade com o último ponto de atualização de software a partir do qual foi analisado com êxito.
O primeiro ponto de atualização de software que instala num site primário é a origem de sincronização para todos os pontos de atualização de software adicionais que adicionar no site primário. Depois de adicionar pontos de atualização de software e iniciar a sincronização, veja o estado dos pontos de atualização de software e a origem de sincronização do nó Estado de Sincronização do Ponto de Atualização de Software na área de trabalho Monitorização .
Quando ocorrer uma falha do ponto de atualização de software configurado como a origem de sincronização do site, remova manualmente a função falhada. Em seguida, selecione um novo ponto de atualização de software para utilizar como origem de sincronização. Para obter mais informações, veja Remover uma função do sistema de sites.
Lista de pontos de atualização de software
O Configuration Manager fornece ao cliente uma lista de pontos de atualização de software nos seguintes cenários:
Um novo cliente recebe a política para ativar as atualizações de software
Um cliente não consegue contactar o ponto de atualização de software atribuído e tem de mudar para outro
O cliente seleciona aleatoriamente um ponto de atualização de software na lista. Atribui prioridades aos pontos de atualização de software na mesma floresta. O Configuration Manager fornece aos clientes uma lista diferente consoante o tipo de cliente:
Clientes baseados na intranet: receba uma lista de pontos de atualização de software que pode configurar para permitir ligações apenas a partir da intranet ou uma lista de pontos de atualização de software que permitem ligações de cliente da Internet e intranet.
Clientes baseados na Internet: receba uma lista de pontos de atualização de software que configura para permitir ligações apenas a partir da Internet ou uma lista de pontos de atualização de software que permitem ligações de cliente da Internet e intranet.
Mudança de ponto de atualização de software
Observação
Os clientes utilizam grupos de limites para encontrar um novo ponto de atualização de software. Se o ponto de atualização de software atual já não estiver acessível, também utilizarão grupos de limites para reverter e encontrar um novo. Adicione pontos de atualização de software individuais a diferentes grupos de limites para controlar os servidores que um cliente pode encontrar. Para obter mais informações, veja Pontos de atualização de software.
Se tiver vários pontos de atualização de software num site e um falhar ou ficar indisponível, os clientes ligar-se-ão a um ponto de atualização de software diferente. Com este novo servidor, os clientes continuam a procurar as atualizações de software mais recentes. Quando um cliente é atribuído pela primeira vez a um ponto de atualização de software, este permanece atribuído a esse ponto de atualização de software, a menos que não consiga analisar.
A análise de atualizações de software pode falhar com vários códigos de erro diferentes de repetição e não repetição. Quando a análise falha com um código de erro de repetição, o cliente inicia um processo de repetição para procurar as atualizações de software no ponto de atualização de software. As condições de alto nível que resultam num código de erro de repetição são normalmente porque o servidor WSUS está indisponível ou porque está temporariamente sobrecarregado. Quando o cliente não consegue procurar atualizações de software, utiliza o seguinte processo:
O cliente procura atualizações de software:
- Na hora agendada
- Quando é executado manualmente a partir do painel de controlo no cliente
- Quando é executado manualmente a partir da consola do Configuration Manager através de uma ação de notificação de cliente
- Quando é executado a partir de um método SDK do Configuration Manager
Se a análise falhar, o cliente aguarda 30 minutos para repetir a análise. Utiliza o mesmo ponto de atualização de software.
O cliente volta a tentar um mínimo de quatro vezes a cada 30 minutos. Após a quarta falha e depois de aguardar mais dois minutos, o cliente passa para o ponto de atualização de software seguinte na lista.
O cliente repete este processo com o novo ponto de atualização de software. Após uma análise bem-sucedida, o cliente continua a ligar-se ao novo ponto de atualização de software.
A lista seguinte fornece informações adicionais a considerar para cenários de repetição e mudança de ponto de atualização de software:
Se um cliente estiver desligado da intranet e não conseguir procurar atualizações de software, não mudará para outro ponto de atualização de software. Esta falha é esperada porque o cliente não consegue aceder à rede interna ou a um ponto de atualização de software que permita ligações a partir da intranet. O cliente do Configuration Manager determina a disponibilidade do ponto de atualização de software da intranet.
Se estiver a gerir clientes na Internet e tiver configurado vários pontos de atualização de software para aceitar a comunicação dos clientes na Internet, o processo de comutação segue o processo de repetição padrão descrito anteriormente.
Se o processo de análise for iniciado, mas o cliente estiver desativado antes de a análise ser concluída, não será considerada uma falha de análise e não conta como uma das quatro repetições.
Quando o Configuration Manager recebe qualquer um dos seguintes códigos de erro do Agente do Windows Update, o cliente volta a tentar a ligação:
2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335
Para procurar o significado de um código de erro, converta o código de erro decimal em hexadecimal e, em seguida, procure o valor hexadecimal num site como o Agente do Windows Update – Wiki de Códigos de Erro. Por exemplo, o código de erro decimal 2149842970 é hexadecimal 8024001A, o que significa que WU_E_POLICY_NOT_SET um valor de política não foi definido.
Mudar manualmente os clientes para um novo ponto de atualização de software
Mude os clientes do Configuration Manager para um novo ponto de atualização de software quando existem problemas com o ponto de atualização de software ativo. Esta alteração só ocorre quando um cliente recebe vários pontos de atualização de software de um ponto de gestão.
Importante
Quando muda de dispositivo para utilizar um novo servidor, os dispositivos utilizam a contingência para encontrar esse novo servidor. Os clientes mudam para o novo ponto de atualização de software durante o próximo ciclo de análise de atualizações de software.
Antes de iniciar esta alteração, reveja as configurações do grupo de limites para se certificar de que os pontos de atualização de software estão nos grupos de limites corretos. Para obter mais informações, veja Pontos de atualização de software.
Mudar para um novo ponto de atualização de software gera tráfego de rede adicional. A quantidade de tráfego depende das definições de configuração do WSUS, por exemplo, das classificações e produtos sincronizados ou da utilização de uma base de dados WSUS partilhada. Se planeia mudar de vários dispositivos, considere fazê-lo durante as janelas de manutenção. Esta temporização reduz o impacto na sua rede quando os clientes analisam com o novo ponto de atualização de software.
Processo para mudar de pontos de atualização de software
Inicie esta alteração numa coleção de dispositivos. Uma vez acionado, os clientes procuram outro ponto de atualização de software na próxima análise.
Na consola do Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade e selecione o nó Coleções de Dispositivos .
Selecione a coleção de destino. No separador Base do friso, no grupo Coleção , selecione Notificação de Cliente e, em seguida, selecione Mudar para o ponto de atualização de software seguinte.
Pontos de atualização de software numa floresta não fidedigna
Crie um ou mais pontos de atualização de software num site para suportar clientes numa floresta não fidedigna. Para adicionar um ponto de atualização de software noutra floresta, instale e configure primeiro um servidor WSUS nessa floresta. Em seguida, inicie o assistente para adicionar um servidor de site do Configuration Manager com a função de sistema de sites do ponto de atualização de software. No assistente, configure as seguintes definições para ligar com êxito ao WSUS na floresta não fidedigna:
Especifique uma conta de Instalação do Sistema de Sites que possa aceder ao servidor WSUS na floresta não fidedigna.
Especifique uma conta de Ligação do Servidor WSUS para ligar ao servidor WSUS.
Por exemplo, tem um site primário na floresta A com dois pontos de atualização de software (SUP01 e SUP02). Para o mesmo site primário, também tem dois pontos de atualização de software (SUP03 e SUP04) na floresta B. Ao mudar para o ponto de atualização de software seguinte, os clientes priorizam os servidores a partir da mesma floresta.
Utilizar um servidor WSUS existente como origem de sincronização no site de nível superior
Normalmente, o site de nível superior da hierarquia está configurado para sincronizar metadados de atualizações de software com o Microsoft Update. Quando a política de segurança organizacional não permite que o site de nível superior aceda à Internet, configure a origem de sincronização para que o site de nível superior utilize um servidor WSUS existente. Este servidor WSUS não está na hierarquia do Configuration Manager. Por exemplo, tem um servidor WSUS numa rede ligada à Internet (DMZ), mas o site de nível superior está numa rede interna sem acesso à Internet. Configure o servidor WSUS na DMZ como a origem de sincronização para metadados de atualizações de software. Configure o servidor WSUS na DMZ para sincronizar as atualizações de software com os mesmos critérios de que precisa no Configuration Manager. Caso contrário, o site de nível superior poderá não sincronizar as atualizações de software esperadas. Quando instalar o ponto de atualização de software, configure uma conta de ligação do servidor WSUS. Esta conta precisa de acesso ao servidor WSUS na rede de perímetro. Confirme também que a firewall permite tráfego para as portas adequadas. Para obter mais informações, veja as portas utilizadas pelo ponto de atualização de software para a origem de sincronização.
Ponto de atualização de software num site secundário
O ponto de atualização de software é opcional num site secundário. Instale apenas um ponto de atualização de software num site secundário. Quando um ponto de atualização de software não está instalado no site secundário, os dispositivos dentro dos limites de um site secundário utilizam um ponto de atualização de software no respetivo site primário atribuído. Normalmente, instala um ponto de atualização de software num site secundário quando existe uma largura de banda de rede limitada entre os dispositivos no site secundário e os pontos de atualização de software no site primário principal. Também pode utilizar esta configuração quando o ponto de atualização de software no site primário se aproximar do limite de capacidade. Depois de instalar e configurar com êxito um ponto de atualização de software no site secundário, é atualizada uma política ao nível do site para clientes e estes começam a utilizar o novo ponto de atualização de software.
Planear clientes baseados na Internet
Quando precisar de gerir dispositivos que circulam fora da sua rede para a Internet, desenvolva um plano para gerir atualizações de software nestes dispositivos. O Configuration Manager suporta várias tecnologias para este cenário. Utilize uma ou uma combinação conforme necessário para cumprir os requisitos da sua organização.
Gateway de gestão da cloud
Crie um gateway de gestão da cloud no Microsoft Azure e ative pelo menos um ponto de atualização de software no local para permitir o tráfego de clientes baseados na Internet. À medida que os clientes acedem à Internet, continuam a analisar os pontos de atualização de software. Todos os clientes baseados na Internet obtêm sempre conteúdo do serviço cloud Microsoft Update.
Para obter mais informações, veja Descrição geral do gateway de gestão da cloud e Configurar grupos de limites.
Observação
A partir da versão 2203, pode definir os clientes para preferirem analisar um ponto de atualização de software (SUP) do gateway de gestão da cloud (CMG) em vez de um SUP no local. Este comportamento é controlado pela opção Preferir origem baseada na cloud em vez de origem no local no grupo de limites. Para reduzir o impacto no desempenho desta alteração, os clientes existentes não mudam automaticamente o SUP para um SUP baseado na cloud. O cliente permanecerá atribuído ao SUP atual, a menos que o SUP atual falhe ou o cliente seja mudado manualmente para um novo SUP.
Gestão de clientes baseada na Internet
Coloque um ponto de atualização de software numa rede com acesso à Internet e ative-o para permitir o tráfego de clientes baseados na Internet. À medida que os clientes acedem à Internet, mudam para este ponto de atualização de software para análise. Todos os clientes baseados na Internet obtêm sempre conteúdo do serviço cloud Microsoft Update.
Para obter mais informações sobre as vantagens e desvantagens da gestão de clientes baseada na Internet, veja Gerir clientes na Internet.
Windows Update para Empresas
O Windows Update para Empresas permite-lhe manter os dispositivos Windows 10 ou posterior sempre atualizados com as atualizações de qualidade e funcionalidades mais recentes. Estes dispositivos ligam-se diretamente ao serviço cloud do Windows Update. O Configuration Manager pode diferenciar entre computadores Windows que utilizam WUfB e WSUS para obter atualizações de software.
Para obter mais informações, consulte Integração com o Windows Update para Empresas.
Planear conteúdo de atualização de software
Os clientes têm de transferir os ficheiros de conteúdo para atualizações de software para os instalar. O Configuration Manager fornece várias tecnologias para suportar a gestão e entrega deste conteúdo. Em alternativa, configure implementações de atualizações de software para permitir ou exigir que os clientes obtenham conteúdo diretamente a partir do serviço cloud Microsoft Update.
Observação
A partir de 28 de março de 2023, os dispositivos Windows 11 no local, versão 22H2, receberão atualizações de qualidade através da Unified Update Platform (UUP). A UUP no local interage com o WSUS e o Microsoft Configuration Manager. As atualizações de qualidade UUP continuam a ser cumulativas e incluem todas as correções de qualidade e segurança do Windows lançadas. A gestão de atualizações no local com a Unified Update Platform (UUP) requer mais 10 GB de espaço por versão do Windows e arquitetura do processador para cada versão. Para obter mais informações, veja a secção Considerações sobre UUP .
Transferir e distribuir conteúdo
Por predefinição, o processo de gestão de atualizações de software no Configuration Manager utiliza as funcionalidades de gestão de conteúdos incorporadas. Estas funcionalidades incluem a biblioteca de conteúdos do arquivo de instância única centralizada e a estrutura distribuída da função do sistema de sites do ponto de distribuição. Utiliza estas funcionalidades quando transfere e distribui pacotes de implementação de atualizações de software.
Para obter mais informações, veja Transferir atualizações de software.
Gerir ficheiros de instalação rápida para o Windows 10 ou posterior
O Configuration Manager suporta a utilização de ficheiros de instalação rápida para atualizações do Windows. Os ficheiros de atualização rápida e as tecnologias de suporte, como a Otimização da Entrega, podem ajudar a reduzir o impacto na rede da transferência de ficheiros de conteúdo de grandes dimensões para os clientes.
Para obter mais informações, veja Otimizar a entrega de atualizações do Windows.
Os clientes transferem conteúdo a partir da Internet
Quando implementar atualizações de software em clientes, configure a implementação para os clientes transferirem conteúdo do serviço cloud Microsoft Update. Quando os clientes não conseguem transferir conteúdo de outra origem de conteúdo, ainda podem transferir o conteúdo a partir da Internet.
Não tem de criar um pacote de implementação ao implementar atualizações de software. Quando seleciona a opção Sem pacote de implementação , os clientes ainda podem transferir conteúdos de origens locais, se disponíveis, mas normalmente são transferidos a partir do serviço Microsoft Update.
Os clientes baseados na Internet transferem sempre conteúdo do serviço cloud Microsoft Update. Não distribua pacotes de implementação de atualizações de software para um gateway de gestão de cloud (CMG) compatível com conteúdo.
Planear atualizações de terceiros
O Configuration Manager integra-se com o WSUS, que suporta nativamente atualizações de software publicadas pela Microsoft. A maioria dos clientes utiliza outras aplicações de terceiros que também precisam de atualizações. Existem várias opções a considerar para manter as aplicações de terceiros atualizadas.
Substituir aplicações a atualizar
Utilize uma relação de substituição com a funcionalidade de gestão de aplicações no Configuration Manager para atualizar ou substituir aplicações existentes. Quando substituir uma aplicação, especifique um novo tipo de implementação para substituir o tipo de implementação da aplicação sobreposta. Decida também se pretende atualizar ou desinstalar a aplicação sobreposta antes de a aplicação de substituição ser instalada.
Para obter mais informações, veja Rever e substituir aplicações.
Atualizações de software de terceiros
Pode utilizar o nó Catálogos de Atualizações de Software de Terceiros na consola do Configuration Manager para subscrever catálogos de terceiros, publicar as atualizações no ponto de atualização de software e, em seguida, implementá-los em clientes.
Para obter mais informações, veja Atualizações de software de terceiros.
System Center Updates Publisher
O System Center Updates Publisher (SCUP) é uma ferramenta autónoma que permite aos fabricantes independentes de software ou programadores de aplicações de linha de negócio gerir atualizações personalizadas. Estas atualizações incluem as que têm dependências, como controladores e pacotes de atualização. O SCUP também pode ser utilizado para catálogos de atualizações de terceiros que não estão disponíveis diretamente na consola do .
Para obter mais informações, veja System Center Updates Publisher(Editor de Atualizações do System Center).
Planear a instalação do ponto de atualização de software
Esta secção inclui os seguintes subtópicos:
- Requisitos para o ponto de atualização de software
- Planear a instalação do WSUS
- Configurar firewalls
Esta secção fornece informações sobre os passos a seguir para planear e preparar com êxito a instalação do ponto de atualização de software. Antes de criar uma função do sistema de sites para o ponto de atualização de software no Configuration Manager, existem vários requisitos a considerar. Os requisitos específicos dependem da sua infraestrutura do Configuration Manager. Quando configura o ponto de atualização de software para comunicar através de HTTPS, esta secção é especialmente importante de rever. Os servidores preparados para HTTPS requerem passos adicionais para funcionarem corretamente.
Requisitos para o ponto de atualização de software
Instale a função de ponto de atualização de software num sistema de sites que cumpra os requisitos mínimos para o WSUS e as configurações suportadas para sistemas de sites do Configuration Manager.
Para obter mais informações sobre os requisitos mínimos para a função de servidor WSUS no Windows Server, veja Rever considerações e requisitos de sistema.
Para obter mais informações sobre as configurações suportadas para sistemas de sites do Configuration Manager, veja Pré-requisitos do site e do sistema de sites.
Planear a instalação do WSUS
Instale uma versão suportada do WSUS em todos os servidores do sistema de sites que configurar para a função de ponto de atualização de software. Quando não instalar o ponto de atualização de software no servidor do site, instale a Consola de Administração do WSUS no servidor do site. Este componente permite que o servidor do site comunique com o WSUS que é executado no ponto de atualização de software.
Quando utiliza o WSUS no Windows Server 2012 ou posterior, configure permissões adicionais para permitir que o componente WSUS Configuration Manager no Configuration Manager se ligue ao WSUS. Este componente efetua verificações periódicas do estado de funcionamento. Escolha uma das seguintes opções para configurar a permissão necessária:
Adicionar a conta SYSTEM ao grupo Administradores do WSUS
Adicione a conta NT AUTHORITY\SYSTEM como utilizador para a base de dados WSUS (SUSDB). Configure um mínimo da associação à função de base de dados webService.
Para obter mais informações sobre como instalar o WSUS no Windows Server, consulte Instalar a Função de Servidor WSUS.
Quando instalar mais do que um ponto de atualização de software num site primário, utilize a mesma base de dados WSUS para cada ponto de atualização de software na mesma floresta do Active Directory. Partilhar a mesma base de dados melhora o desempenho quando os clientes mudam para um novo ponto de atualização de software. Para obter mais informações, veja Utilizar uma base de dados WSUS partilhada para pontos de atualização de software.
Configurar o caminho do diretório de conteúdo do WSUS
Quando instalar o WSUS, terá de fornecer um caminho de diretório de conteúdos. O diretório de conteúdos do WSUS é utilizado principalmente para armazenar os ficheiros dos Termos de Licenciamento para Software Microsoft necessários para os clientes durante a análise. O Configuration Manager O diretório de conteúdos do WSUS não deve sobrepor-se ao diretório de origem de conteúdo para pacotes de implementação de software do Configuration Manager. Sobrepor o diretório de conteúdo do WSUS e a origem do pacote do Configuration Manager resultará na remoção de ficheiros incorretos do diretório de conteúdos do WSUS.
Configurar o WSUS para utilizar um site personalizado
Quando instala o WSUS, tem a opção de utilizar o site predefinido do IIS existente ou de criar um site WSUS personalizado. Crie um site personalizado para o WSUS para que o IIS aloje os serviços WSUS num site virtual dedicado. Caso contrário, partilha o mesmo site utilizado pelas outras aplicações ou sistemas de sites do Configuration Manager. Esta configuração é especialmente necessária quando instala a função de ponto de atualização de software no servidor do site. Quando executa o WSUS no Windows Server 2012 ou posterior, o WSUS é configurado por predefinição para utilizar a porta 8530 para HTTP e a porta 8531 para HTTPS. Especifique estas portas quando criar o ponto de atualização de software num site.
Configurar o WSUS como um servidor de réplica
Quando adiciona a função de ponto de atualização de software num servidor de site primário, não pode utilizar um servidor WSUS configurado como uma réplica. Quando o servidor WSUS está configurado como uma réplica, o Configuration Manager não consegue configurar o servidor WSUS e a sincronização do WSUS falha. O primeiro ponto de atualização de software que instala num site primário é o ponto de atualização de software predefinido. Os pontos de atualização de software adicionais no site são configurados como réplicas do ponto de atualização de software predefinido.
Decidir se deve configurar o WSUS para utilizar o SSL
A utilização do protocolo SSL para ajudar a proteger o ponto de atualização de software é altamente recomendada. O WSUS utiliza SSL para autenticar computadores cliente e servidores WSUS a jusante para o servidor WSUS. O WSUS também utiliza SSL para encriptar metadados de atualização de software. Quando optar por proteger o WSUS com SSL, prepare o servidor WSUS antes de instalar o ponto de atualização de software.
Quando instalar e configurar o ponto de atualização de software, selecione a opção Ativar comunicações SSL para o Servidor WSUS. Caso contrário, o Configuration Manager configura o WSUS para não utilizar SSL. Quando ativar o SSL num ponto de atualização de software, configure também quaisquer pontos de atualização de software em sites subordinados para utilizar SSL. Para obter mais informações, veja o tutorial Configurar um ponto de atualização de software para utilizar o TLS/SSL com um certificado PKI.
Observação
Para garantir que existem os melhores protocolos de segurança, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a infraestrutura de atualização de software. A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por predefinição. Por predefinição, os clientes que procuram atualizações relativamente a um WSUS baseado em HTTP deixarão de ter permissão para tirar partido de um proxy de utilizador. Se ainda precisar de um proxy de utilizador apesar das trocas de segurança, está disponível uma nova definição de cliente de atualizações de software para permitir estas ligações. Para obter mais informações sobre as alterações à análise do WSUS, veja Alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que verificam o WSUS.
Configurar firewalls
O ponto de atualização de software num site de administração central do Configuration Manager comunica com o WSUS no ponto de atualização de software. O WSUS comunica com a origem de sincronização para sincronizar metadados de atualizações de software. Os pontos de atualização de software num site subordinado comunicam com o ponto de atualização de software no site principal. Quando existe mais do que um ponto de atualização de software num site primário, os pontos de atualização de software adicionais comunicam com o ponto de atualização de software predefinido. A função predefinida é o primeiro ponto de atualização de software instalado no site.
Poderá ter de configurar a firewall para permitir o tráfego HTTP ou HTTPS que o WSUS utiliza nos seguintes cenários:
- Entre o ponto de atualização de software e a Internet
- Entre um ponto de atualização de software e a respetiva origem de sincronização a montante
- Entre pontos de atualização de software adicionais
A ligação ao Microsoft Update está sempre configurada para utilizar a porta 80 para HTTP e a porta 443 para HTTPS. Utilize uma porta personalizada para a ligação do WSUS no ponto de atualização de software de um site subordinado para o WSUS no ponto de atualização de software no site principal. Quando a política de segurança não permitir a ligação, utilize o método de sincronização de exportação e importação. Para obter mais informações, veja a secção Origem de sincronização neste artigo. Para obter mais informações sobre as portas que o WSUS utiliza, veja Como determinar as definições de porta utilizadas pelo WSUS no Configuration Manager.
Restringir o acesso a domínios específicos
Se a sua organização restringir a comunicação de rede com a Internet através de uma firewall ou dispositivo proxy, terá de permitir que o ponto de atualização de software ativo aceda aos pontos finais da Internet. Em seguida, o WSUS e as Atualizações Automáticas podem comunicar com o serviço cloud Microsoft Update.
Para obter mais informações, veja Requisitos de acesso à Internet.
Planear as definições de sincronização
Esta secção inclui os seguintes subtópicos:
- Origem de sincronização
- Agenda de sincronização
- Classificações de atualizações
- Produtos
- Regras de substituição
- Languages
- Tempo máximo de execução
A sincronização de atualizações de software no Configuration Manager transfere os metadados de atualizações de software com base nos critérios que configurar. O site de nível superior da hierarquia sincroniza as atualizações de software do Microsoft Update. Tem a opção de configurar o ponto de atualização de software no site de nível superior para sincronizar com um servidor WSUS existente, não na hierarquia do Configuration Manager. Os sites primários subordinados sincronizam metadados de atualizações de software do ponto de atualização de software no site de administração central. Antes de instalar e configurar um ponto de atualização de software, utilize esta secção para planear as definições de sincronização.
Origem de sincronização
As definições da origem de sincronização do ponto de atualização de software especificam a localização para onde o ponto de atualização de software obtém metadados de atualizações de software. Também especifica se o processo de sincronização cria eventos de relatórios do WSUS.
Origem de sincronização: por predefinição, o ponto de atualização de software no site de nível superior configura a origem de sincronização para o Microsoft Update. Tem a opção de sincronizar o site de nível superior com um servidor WSUS existente. O ponto de atualização de software num site primário subordinado configura a origem de sincronização como o ponto de atualização de software no site de administração central.
O primeiro ponto de atualização de software que instalar num site primário, que é o ponto de atualização de software predefinido, sincroniza com o site de administração central. Os pontos de atualização de software adicionais no site primário são sincronizados com o ponto de atualização de software predefinido no site primário.
Quando um ponto de atualização de software é desligado do Microsoft Update ou do servidor de atualização a montante, configure a origem de sincronização para não sincronizar com uma origem de sincronização configurada. Em vez disso, configure-a para utilizar a função de exportação e importação da ferramenta WSUSUtil para sincronizar as atualizações de software. Para obter mais informações, veja Sincronizar atualizações de software a partir de um ponto de atualização de software desligado.
Eventos de relatórios do WSUS: O Agente do Windows Update em computadores cliente pode criar mensagens de evento para relatórios do WSUS. Estes eventos não são utilizados pelo Configuration Manager. Assim, a opção Não criar eventos de relatórios do WSUS está selecionada por predefinição. Quando estes eventos não são criados, a única altura em que o cliente deve ligar-se ao servidor WSUS é durante a avaliação da atualização de software e as análises de compatibilidade. Se estes eventos forem necessários para relatórios fora do Configuration Manager, modifique esta definição para criar eventos de relatórios do WSUS.
Importante
Se estiver a partilhar a base de dados WSUS (SUSDB) em vários pontos de atualização de software para o site de nível superior, certifique-se de que cada um desses servidores WSUS cumpre os requisitos de acesso à Internet para atualizações de software. Quando a base de dados é partilhada no site de nível superior, o Configuration Manager pode selecionar qualquer um desses servidores WSUS para sincronizar com o Microsoft Update.
Programação de sincronização
Configure a agenda de sincronização apenas no ponto de atualização de software no site de nível superior na hierarquia do Configuration Manager. Quando configura a agenda de sincronização, o ponto de atualização de software sincroniza com a origem de sincronização na data e hora que especificou. A agenda personalizada permite-lhe sincronizar atualizações de software para otimizar para o seu ambiente. Considere as exigências de desempenho do servidor WSUS, do servidor do site e da rede. Por exemplo, 02:00 uma vez por semana. Em alternativa, inicie manualmente a sincronização no site de nível superior com a ação Sincronizar Atualizações de Software a partir dos nós Todas as Atualizações de Software ou Grupos de Atualização de Software na consola do Configuration Manager.
Dica
Agende a sincronização de atualizações de software para ser executada utilizando uma hora adequada para o seu ambiente. Um cenário comum é definir o agendamento de sincronização para ser executado pouco depois do lançamento regular da atualização de software da Microsoft na segunda terça-feira de cada mês. Este dia é normalmente conhecido como Patch Tuesday. Se utilizar o Configuration Manager para fornecer atualizações de definições e motores do Endpoint Protection e do Windows Defender, considere definir a agenda de sincronização para ser executada diariamente.
Depois de o ponto de atualização de software ser sincronizado com êxito, envia um pedido de sincronização para sites subordinados. Se tiver pontos de atualização de software adicionais num site primário, este envia um pedido de sincronização para cada ponto de atualização de software. Este processo é repetido em todos os sites da hierarquia.
Classificações de atualizações
Cada atualização de software é definida com uma classificação de atualização que ajuda a organizar os diferentes tipos de atualizações. Durante o processo de sincronização, o site sincroniza os metadados das classificações especificadas.
O Configuration Manager suporta a sincronização das seguintes classificações de atualização:
Atualizações Críticas: uma atualização amplamente lançada para um problema específico que resolve um erro crítico não relacionado com segurança.
Atualizações de Definições: uma atualização para o vírus ou outros ficheiros de definição.
Pacotes de Funcionalidades: novas funcionalidades de produtos distribuídas fora de um lançamento de produto e que são normalmente incluídas na próxima versão completa do produto.
Atualizações de Segurança: uma atualização amplamente lançada para um problema específico do produto relacionado com a segurança.
Service Packs: um conjunto cumulativo de correções que é aplicado a um SO ou aplicação. Estas correções incluem atualizações de segurança, atualizações críticas e atualizações de software.
Ferramentas: um utilitário ou funcionalidade que ajuda a concluir uma ou mais tarefas.
Update Rollups: um conjunto cumulativo de correções que é empacotado em conjunto para uma implementação fácil. Estas correções incluem atualizações de segurança, atualizações críticas e atualizações de software. Geralmente, um update rollup aborda uma área específica, como segurança ou um componente de produto.
Atualizações: uma atualização para uma aplicação ou ficheiro que está atualmente instalado.
Atualizações: uma atualização de funcionalidades para uma nova versão do Windows.
Configure as definições de classificação de atualizações apenas no site de nível superior. As definições de classificação de atualizações não estão configuradas no ponto de atualização de software em sites subordinados, porque os metadados de atualizações de software são replicados a partir do site de nível superior. Quando selecionar as classificações de atualização, tenha em atenção que quanto mais classificações selecionar, mais tempo demorará a sincronizar os metadados das atualizações de software.
Aviso
Como melhor prática, limpe todas as classificações antes de sincronizar pela primeira vez. Após a sincronização inicial, selecione as classificações pretendidas e, em seguida, execute novamente a sincronização.
Produtos
Os metadados para cada atualização de software definem um ou mais produtos para os quais a atualização é aplicável. Um produto é uma edição específica de um SO ou aplicação. Um exemplo de um produto é o Microsoft Windows 10. Uma família de produtos é o SO base ou aplicação a partir da qual os produtos individuais são derivados. Um exemplo de uma família de produtos é o Microsoft Windows, do qual o Windows 10 e o Windows Server 2016 são membros. Selecione uma família de produtos ou produtos individuais numa família de produtos.
Quando as atualizações de software são aplicáveis a vários produtos e, pelo menos, um dos produtos está selecionado para sincronização, todos os produtos aparecem na consola do Configuration Manager, mesmo que alguns produtos não estivessem selecionados. Por exemplo, selecione apenas o produto Windows Server 2012. Se uma atualização de software se aplicar ao Windows Server 2012 e Ao Windows Server 2012 Datacenter Edition, ambos os produtos estão na base de dados do site.
Configure as definições do produto apenas no site de nível superior. As definições do produto não estão configuradas no ponto de atualização de software para sites subordinados porque os metadados de atualizações de software são replicados a partir do site de nível superior. Quanto mais produtos selecionar, mais tempo demorará a sincronizar os metadados de atualizações de software.
Importante
O Configuration Manager armazena uma lista de produtos e famílias de produtos que escolher quando instalar o ponto de atualização de software pela primeira vez. Os produtos e famílias de produtos que são lançados após o lançamento do Configuration Manager poderão não estar disponíveis para seleção até concluir a sincronização. O processo de sincronização atualiza a lista de produtos e famílias de produtos disponíveis a partir dos quais pode escolher. Limpe todos os produtos antes de sincronizar as atualizações de software pela primeira vez. Após a sincronização inicial, selecione os produtos pretendidos e, em seguida, volte a executar a sincronização.
Regras de substituição
Normalmente, uma atualização de software que substitui outra atualização de software efetua uma ou mais das seguintes ações:
Melhora, melhora ou atualiza a correção fornecida por uma ou mais atualizações disponibilizadas anteriormente.
Melhora a eficiência do pacote de ficheiros de atualização substituído, que é instalado nos clientes se a atualização for aprovada para instalação. Por exemplo, a atualização sobreposta pode conter ficheiros que já não são relevantes para a correção ou para os sistemas operativos suportados pela nova atualização. Esses ficheiros não estão incluídos no pacote de ficheiros de substituição da atualização.
Atualiza as versões mais recentes de um produto. Por outras palavras, atualiza as versões que já não são aplicáveis a versões ou configurações mais antigas de um produto. As atualizações também podem substituir outras atualizações se forem efetuadas modificações para expandir o suporte de idiomas. Por exemplo, uma revisão posterior de uma atualização de produto para o Microsoft 365 Apps pode remover o suporte para um SO mais antigo, mas pode adicionar suporte adicional para novos idiomas na versão de atualização inicial.
Nas propriedades do ponto de atualização de software, especifique que as atualizações de software substituídos expiram imediatamente. Esta definição impede que sejam incluídas em novas implementações. Também sinaliza as implementações existentes para indicar que contêm uma ou mais atualizações de software expiradas. Em alternativa, especifique um período de tempo antes de as atualizações de software substituídos expirarem. Esta ação permite-lhe continuar a implementá-las.
Considere os seguintes cenários nos quais poderá ter de implementar uma atualização de software sobreposta:
Uma atualização de software de substituição suporta apenas versões mais recentes de um SO. Alguns dos computadores cliente executam versões anteriores do SO.
Uma atualização de software de substituição tem uma aplicabilidade mais restrita do que a atualização de software que substitui. Este comportamento tornaria inadequado para alguns clientes.
Se uma atualização de software de substituição não tiver sido aprovada para implementação no seu ambiente de produção.
O Configuration Manager pode expirar automaticamente atualizações sobrepostas com base numa agenda que escolher. Pode especificar o comportamento das regras de substituição para atualizações de funcionalidades separadamente de atualizações não relacionadas com funcionalidades. A predefinição é aguardar 3 meses antes de expirar uma atualização sobreposta. A predefinição de 3 meses é dar-lhe tempo para verificar se a atualização já não é necessária para nenhum dos seus computadores cliente. Recomenda-se que não assuma que as atualizações sobrepostas devem expirar imediatamente a favor da nova atualização de substituição. Pode apresentar uma lista das atualizações de software que substituem a atualização de software no separador Informações de Substituição nas propriedades de atualização de software.
Idiomas
As definições de idioma do ponto de atualização de software permitem-lhe configurar:
- Os idiomas para os quais os detalhes de resumo (metadados de atualizações de software) são sincronizados para atualizações de software
- Os idiomas de ficheiro de atualização de software que são transferidos para atualizações de software
Ficheiro de atualização de software
Configure idiomas para a definição Ficheiro de atualização de software nas propriedades do ponto de atualização de software. Esta definição fornece os idiomas predefinidos que estão disponíveis quando transfere atualizações de software num site. Modifique os idiomas selecionados por predefinição sempre que as atualizações de software são transferidas ou implementadas. Durante o processo de transferência, os ficheiros de atualização de software para os idiomas configurados são transferidos para a localização de origem do pacote de implementação, se os ficheiros de atualização de software estiverem disponíveis no idioma selecionado. Em seguida, são copiados para a biblioteca de conteúdos no servidor do site. Em seguida, são distribuídos pelos pontos de distribuição configurados para o pacote.
Configure as definições de idioma do ficheiro de atualização de software com os idiomas mais utilizados no seu ambiente. Por exemplo, os clientes no seu site utilizam principalmente inglês e japonês para Windows ou aplicações. Existem poucos outros idiomas que são utilizados no site. Selecione apenas Inglês e Japonês na coluna Ficheiro de Atualização de Software quando transferir ou implementar a atualização de software. Esta ação permite-lhe utilizar as predefinições na página Seleção de Idioma dos assistentes de implementação e transferência. Esta ação também impede que os ficheiros de atualização desnecessários sejam transferidos. Configure esta definição em cada ponto de atualização de software na hierarquia do Configuration Manager.
Detalhes do resumo
Durante o processo de sincronização, as informações de detalhes de resumo (metadados de atualizações de software) são atualizadas para atualizações de software nos idiomas que especificar. Os metadados fornecem informações sobre a atualização de software, por exemplo:
- Nome
- Descrição
- Produtos suportados pela atualização
- Classificação de atualização
- ID do Artigo
- Transferir URL
- Regra de aplicabilidade
Configure as definições de detalhes de resumo apenas no site de nível superior. Os detalhes de resumo não estão configurados no ponto de atualização de software em sites subordinados porque os metadados de atualizações de software são replicados a partir do site de administração central através da replicação baseada em ficheiros. Quando selecionar os idiomas de detalhes de resumo, selecione apenas os idiomas de que precisa no seu ambiente. Quanto mais idiomas selecionar, mais tempo demorará a sincronizar os metadados de atualizações de software. O Configuration Manager apresenta os metadados de atualizações de software na região do SO em que a consola do Configuration Manager é executada. Se as propriedades localizadas das atualizações de software não estiverem disponíveis na região deste SO, as informações de atualizações de software serão apresentadas em inglês.
Importante
Selecione todos os idiomas de detalhes de resumo de que precisa. Quando o ponto de atualização de software no site de nível superior sincroniza com a origem de sincronização, os idiomas de detalhes de resumo selecionados determinam os metadados de atualizações de software que obtém. Se modificar os idiomas de detalhes de resumo após a execução da sincronização pelo menos uma vez, este obtém os metadados de atualizações de software para os idiomas de detalhes de resumo modificados apenas para atualizações de software novas ou atualizadas. As atualizações de software que já foram sincronizadas não são atualizadas com novos metadados para os idiomas modificados, a menos que exista uma alteração à atualização de software na origem de sincronização.
Tempo máximo de execução
Pode especificar o período máximo de tempo que uma instalação de atualização de software tem de concluir. Pode especificar o tempo máximo de execução para o seguinte:
Tempo máximo de execução para atualizações de funcionalidades do Windows (minutos)
-
Atualizações de funcionalidades – uma atualização que está numa destas três classificações:
- Atualizações
- Pacotes cumulativos de atualizações
- Service packs
-
Atualizações de funcionalidades – uma atualização que está numa destas três classificações:
Tempo máximo de execução para atualizações do Office 365 e atualizações sem funcionalidades para o Windows (minutos)
-
Atualizações não relacionadas com funcionalidades – uma atualização que não é uma atualização de funcionalidades e cujo produto está listado como um dos seguintes:
- Windows 11
- Windows 10 (todas as versões)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Atualizações não relacionadas com funcionalidades – uma atualização que não é uma atualização de funcionalidades e cujo produto está listado como um dos seguintes:
Tempo máximo de execução para todas as outras atualizações de software fora destas categorias, tais como atualizações de terceiros (minutos): o tempo máximo de execução predefinido destas atualizações varia consoante quando a atualização foi sincronizada pela primeira vez no ambiente e na versão do Configuration Manager. Utilize o carrinho abaixo para determinar o valor máximo de runtime para estas atualizações:
2203 ou posterior 2103, 2107 ou 2111 2010 O tempo máximo de execução de todas as outras atualizações de software é personalizável. O padrão é 60 minutos. 60 minutos 10 minutos Importante
- Esta definição só altera o runtime máximo para novas atualizações sincronizadas pelo SUP. Não altera o tempo de execução das atualizações existentes que sincronizaram antes da modificação do tempo de execução. Por exemplo, se
Update 1
tiver sido sincronizado pela primeira vez num ambiente 2111, o tempo máximo de execução será de 60 minutos. Em seguida, atualize o ambiente para a versão 2203 e defina o tempo máximo de execução para 30 minutos.Update 1
mantém o runtime de 60 minutos. No entanto, quando uma nova atualização,Update 2
, é sincronizada, é-lhe dado o novo tempo de execução de 30 minutos. - Se precisar de alterar manualmente o tempo máximo de execução de uma atualização, pode configurar as definições de atualização de software para a mesma.
- Esta definição só altera o runtime máximo para novas atualizações sincronizadas pelo SUP. Não altera o tempo de execução das atualizações existentes que sincronizaram antes da modificação do tempo de execução. Por exemplo, se
Planear uma janela de manutenção de atualizações de software
Adicione uma janela de manutenção dedicada à instalação de atualizações de software. Esta ação permite-lhe configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Quando configura uma janela de manutenção geral e uma janela de manutenção de atualizações de software, os clientes instalam atualizações de software apenas durante a janela de manutenção das atualizações de software.
Pode alterar este comportamento e permitir a instalação de atualizações de software durante uma janela de manutenção geral. Para obter mais informações sobre esta definição de cliente, veja Definições de cliente de atualizações de software.
Para obter mais informações sobre janelas de manutenção, consulte Como utilizar janelas de manutenção.
Opções de reinício para clientes windows 10 após a instalação da atualização de software
Quando uma atualização de software que requer um reinício é implementada e instalada com o Configuration Manager, o cliente agenda um reinício pendente e apresenta uma caixa de diálogo de reinício.
Quando existe um reinício pendente para uma atualização de software do Configuration Manager, a opção para Atualizar e Reiniciar e Atualizar e Encerrar está disponível em computadores com o Windows 10 nas opções de energia do Windows. Depois de utilizar uma destas opções, a caixa de diálogo de reinício não é apresentada após o reinício do computador. Em determinadas circunstâncias, o sistema operativo pode remover as opções de reinício pendentes. Isto pode acontecer se a funcionalidade Arranque Rápido no Windows 10 estiver ativada. Para obter mais informações, consulte As atualizações podem não estar instaladas com o Arranque Rápido no Windows 10.
Avaliar atualizações de software após uma atualização da pilha de manutenção
A partir da versão 2002, o Configuration Manager deteta se uma atualização da pilha de manutenção (SSU) faz parte de uma instalação para várias atualizações. Quando é detetada uma SSU, é instalada primeiro. Após a instalação da SSU, é executado um ciclo de avaliação de atualização de software para instalar as atualizações restantes. Esta alteração permite a instalação de uma atualização cumulativa dependente após a atualização da pilha de manutenção. O dispositivo não precisa de ser reiniciado entre instalações e não precisa de criar uma janela de manutenção adicional. As SSUs são instaladas primeiro apenas para instalações iniciadas por não utilizadores. Por exemplo, se um utilizador iniciar uma instalação para várias atualizações a partir do Centro de Software, a SSU poderá não ser instalada primeiro. A instalação de SSUs primeiro não está disponível para sistemas operativos Windows Server ao utilizar a versão 2002 do Configuration Manager. Esta funcionalidade foi adicionada no Configuration Manager versão 2006 para sistemas operativos Windows Server.
Se tiver atualizações não Windows, como o Office ou atualizações de terceiros no mesmo prazo e precisarem de um reinício após a instalação, as atualizações cumulativas poderão não ser instaladas imediatamente após a SSU, porque o computador exigiu um reinício antes de efetuar novamente uma análise completa. Isto pode ser conseguido ao selecionar a caixa de verificação Se alguma atualização nesta implementação exigir um reinício do sistema, execute o ciclo de avaliação da implementação de atualizações após reiniciar as definições de implementação.
Próximas etapas
Depois de planear atualizações de software, consulte Preparar a gestão de atualizações de software.
Para obter mais informações sobre como gerir o Windows como um serviço, veja Noções básicas do Configuration Manager como um serviço e Windows como um serviço.